[摘要]這個漏洞允許黑客繞過驗證，用惡意軟件取代合法的聯想程序，并可遠程運行命令。

騰訊科技訊 聯想被曝在電腦內置危險軟件3個月后，再次被曝出“安全措施松懈”。安全公司IOActive日前發布報告稱，他們在聯想電腦升級系統中發現重大安全漏洞。這個漏洞允許黑客繞過驗證檢查，用惡意軟件取代合法的聯想程序，并可遠程運行命令。

IOActive的安全專家解釋稱，通過其中一個漏洞，攻擊者可以創建虛假證書授權以簽署可執行文件，允許惡意軟件偽裝成聯想官方發布的軟件。如果聯想用戶在咖啡店升級他們的電腦，其他人就可以利用這個安全漏洞用自己的軟件替換聯想程序，研究人員稱此為“經典咖啡店攻擊”。這個安全漏洞與IOActive發現的其他漏洞，都存在于聯想升級系統5.6.0.27及其前代版本中。

早在2月份，安全專家們就已經首次發現這些漏洞，并警告聯想補全漏洞。聯想已經于4月份發布可以消除漏洞的補丁。但是聯想電腦用戶需要自己下載安全更新，以避免自己的電腦陷入IOActive所謂的“巨大安全風險”中。

盡管聯想對這些漏洞迅速做出反應，但隨著這個世界上最大的PC制造商不斷發展壯大，在其軟件中發現另一個安全漏洞，的確令人感到尷尬。